SpringCloud微服务安全(二)API安全 2-1 API安全概述

最新推荐文章于 2023-12-31 01:37:58 发布
最新推荐文章于 2023-12-31 01:37:58 发布
阅读量283 收藏 1
点赞数
分类专栏: # SpringCloud Finchley微服务实战 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42405670/article/details/116142147
版权

问题:

  1. 什么是API?
  2. API安全的要素有哪些?
  3. API安全基本机制

1. 什么是API

百度百科:API(Application Programming Interface,应用程序接口)是一些预先定义的函数,或指软件系统不同组成部分衔接的约定。 [1]  目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问原码,或理解内部工作机制的细节。

通俗的讲:API就是你为客服提供服务的一种方式。

2. API安全包含哪些方面

API安全主要包含3方面内容:

  信息安全:信息在整个生命周期里(信息从创建、存储、转换 、备份、销毁),数据是受到保护的,是安全的。

       网络安全:数据在通过网络进行传输的时候是安全的,不会被人盗取或篡改,也应该保证在网络上,不会被未授权的访问接触到你的信息。

      应用安全:应用程序本身的安全。从设计上要抵挡各种各样的攻击,防范各种风险。

这3个方面综合起来,才可以说你的API是安全的。

3. API 安全的目标: CIA

 机密性(Confientiality)。确保信息只被预期的读者访问

完整性(Integrity)。防止未授权的创建,修改和删除

可用性(Availability)。当用户需要访问API时,API总是可用的

4.常见的API风险:STRIDE

Spoofing:欺骗。伪装成某人。 如:伪装成系统管理员修改系统数据。

Tampering: 干预。将不希望被修改的数据、信息或设置该表。

Repudiation:否认。拒绝承认做过的事。如:用户收货却拒绝承认。

Information disclosure:信息泄露。将你希望保密的信息披露出来。如:泄露客户信息,导致被对手抢去。

Denial of service: 拒绝服务。组织用户访问信息和服务。如:未登录用户对订单、支付接口进行DDos攻击

Elevation of privilege:越权。做了你不希望他能做的事。如:用户修改了商品的价格,这是不允许的。

5.风险与安全机制的对应关系

(1)认证:(欺骗)。确保你的用户或客户端真的是他(它)们自己

(2)授权:(信息泄露)、(干预)、(越权) 确保每个针对API的访问都是经过授权的

(3)审计:(否认)。确保所有的操作都被记录,以便追溯和监控

(4)流控:(拒绝服务)。防止用户请求淹没你的API

(5)加密:(信息泄露)。确保出入API的数据是私密的

6.安全机制图解

绿色部分就是我们要在用户请求到业务逻辑API之间要加入的安全机制。

1,流控(流量控制)在所有安全机制的最前面,通过流控把一些请求挡调之后,后边的处理是不需要做的。

2,认证,在流控后面,确保用户就是他声名的身份。

3,审计,记录谁什么时候做了什么。

4,授权,决定一个请求是否可以被执行。

5,加密,是贯穿在整个请求的过程中的。从用户的设备到服务器的请求, 本身就应该是加密的,如用https;在请求中携带的数据,比如用户密码或者他敏感信息,在整个过程中,也应该都是加密的。

 

鮀城小帅
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Cloud 与微服务学习总结(17)—— SpringCloud Gateway API 接口安全设计(加密 、签名、安全
科技D人生
06-23 341
简述:当用户登录时,恶意攻击者可以用抓包工具可以拿到用户提交的表单信息,可以获取用户的账号密码,进而可以恶意访问网站。 RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。 1973年,在英国政府通讯总部工作的数学家克利福德·柯克斯(Cliff
springcloud 微服务(全套视频)
04-22
根据提供的文件信息,我们可以推断出这是一套关于Spring Cloud微服务的全套视频教程。由于提供的部分内容不清晰,我们将基于标题、描述以及标签中的信息来展开相关知识点。 ### Spring Cloud微服务简介 #### 1. ...
Spring Cloud中如何保证各个微服务之间调用的安全
热门推荐
u010889990的专栏
12-02 3万+
一.背景微服务架构下,我们的系统根据业务被拆分成了多个职责单一的微服务。每个服务都有自己的一套API提供给别的服务调用,那么如何保证安全性呢?不是说你想调用就可以调用,一定要有认证机制,是我们内部服务发出的请求,才可以调用我们的接口。需要注意的是我们这边讲的是微服务之间调用的安全认证,不是统一的在API官网认证,需求不一样,API网关处的统一认证是和业务挂钩的,我们这边是为了防止接口被别人随便调用。
如何保证微服务接口的安全
jmysql的博客
04-25 272
尚学堂给同学们带来全新的Java300集课程啦!java零基础小白自学Java必备优质教程_手把手图解学习Java,让学习成为一种享受_哔哩哔哩_bilibili 内网接口:都是当前内网中实现通讯,相对于来说比较安全的。 外网接口:前后端分离调用,基于OATUH2.0构建开放平台 比如appid、appsocet获取accesstoken调用接口。 针对后端: a、接口协议采用https,使用ssl+证书加密传输,端口443 b、对接口的数据参数实现加密,使用RSA非对称加密技术 c、对接口实现MD5的
SpringCloud Gateway API接口安全设计(加密 、签名)
哈利路亚的收藏夹
06-01 251
主要针对页面和后台api交互安全
微服务安全测试的关键——接口安全机制
liwenxiang629的博客
11-17 431
微服务测试过程中,关于接口的功能和性能测试目前有很多解决方案,而对于接口的安全机制以及其测试方法并没有太多的资料介绍,在这里我会对相关内容进行介绍帮助大家解决接口安全测试的问题! 接口安全机制 主要包括以下几个方面: 认证:确保你的用户或客户端真的是他们自己。 授权:确保每个针对API的访问都是经过授权的。 审计:确保所有的操作都被记录,以便追溯和监控。 流控:防止用户请求淹没API。 加密:确保出入API的数据都是私密的。 下图会对我们理解接口的​安全机制有很大的帮助,最右面是我们提供的
基于Spring Cloud、微服务的电商购物平台-cloud-shop.zip
01-30
总结,cloud-shop项目是Spring Cloud微服务架构在电商领域的实践,它展示了如何通过微服务解耦复杂业务,以及如何利用一系列工具进行服务治理。随着技术的发展,cloud-shop还可以考虑引入更多现代技术,如Serverless...
SpringCloud微服务架构笔记(四
03-18
【Spring Cloud微服务架构笔记(四)】 在微服务架构中,Spring Cloud Stream是一个关键组件,它为企业级开发提供了一种高效、灵活的消息处理机制。本文将深入探讨Spring Cloud Stream的功能、核心概念以及如何在...
基于SpringCloud微服务的在线购物平台项目源码.zip
12-14
SpringCloud微服务架构概述SpringCloud是一款基于Spring Boot实现的云应用开发工具集,它为开发者提供了在分布式系统(如配置管理、服务发现、断路器、智能路由、微代理、控制总线、一次性令牌、全局锁、领导...
基于SpringCloud-微服务系统设计方案.rar
最新发布
03-20
SpringCloud概述 SpringCloud是基于Spring Boot实现的一系列云应用开发工具,它为开发者提供了快速构建分布式系统(包括配置管理、服务发现、断路器、智能路由、微代理、控制总线、一次性令牌、全局锁、领导选举...
leafage-gateway:基于spring cloud网关和spring boot安全性,提供安全性,路由分配,wescoket
03-22
叶子网关 leafage-gateway是leafage的网关服务,所有后台服务接口都只能通过网关进行访问,它包含两部分: 查看当前依赖最新版本 了解更多过关于更多信息; 路由网关:基于spring cloud gateway,进行api请求的转发,当前会路由到leafage-basic模块的两个后台服务,资产和管理程序; 安全保护:整合spring security,实现了表单登录的功能,因为前一次分离分离,所以对登录的基本配置进行了一些修改,本项目中没有使用通常其他项目中使用的jwt来做,原因有: 前端都是基于浏览器访问,可以使用cookie,并且实现了csrf防御,并且基于nginx和gateway双重请求的保护规则,安全可靠,且简单实用; jwt这个东西太重了,而且很不安全,因为安全原因,不会将用户用户名之外的任何信息放进token,所以单单为了username这个而在请求中每
微服务架构系列主题:SpringCloud Gateway API接口安全设计(加密 、签名、安全
Larry的博客
06-08 910
SpringCloud Gateway API接口安全设计(加密 、签名、安全
SpringCloud安全实战(一)-API及其安全机制
JavaEdge全是干货的技术号
03-13 6053
我们的重点是 完整知识体系 达到系统性的思考 API安全 API? 与因特网相连的端系统提供了一个应用程序接口(英语:Application Programming Interface,缩写:API;又称为应用程序编程接口)是软件系统不同组成部分衔接的约定。 API规定了运行在一个端系统上的软件请求因特网基础设施向运行在另一个端系统上的特定目的地软件交付数据的方式。比方说:Ali...
SpringCloud(一) 微服务安全实战 API安全机制
xy294636185的博客
03-30 883
开发环境: JDK,STS,MySql PGA(Promethus,Grafana,AlertManager) ELK(Elastic Search, 1.判断当前请求是否需要身份认证 没有返回401 2.判断有没有权限 没有返回403 访问控制 ACL:Access Control Lists:简单易用,实现容易。无法满足复杂的业务需求,不易管理 RBAC:Role Based Access Control:引入角色(客服)概念,简化管理。开发起来相对于ACL复杂 ...
关于微服务模式下的服务安全保护思路
孔令宽的专栏
09-10 633
微服务模式下,多个服务关系可能会错综复杂,每个服务单独做安全认证会有代码重复、降低服务开发速度、不符合单一职责原理等弊端,通常选用服务网关做统一认证的方式。下面我说一下通常的解决思路: 一、开发用户服务专门管理微服务集群用户信息。 微服务网关作为用户服务的前置系统,负责微服务用户认证、用户授权、微服务接口权限的管理等功能。 三、网关后端的众多微服务只负责具体业务,不负责用户认证和权限管...
SpringCloud
IT谢彪的博客
09-18 579
微服务框架之SpringCloud
微服务API安全性与保护
禅与计算机程序设计艺术
12-31 881
1.背景介绍 微服务架构已经成为现代软件开发的重要趋势。它将单个应用程序拆分为多个小型服务,这些服务可以独立部署和扩展。这种架构的优势在于它的灵活性、可扩展性和容错性。然而,这种架构也带来了新的挑战,特别是在API安全性和保护方面。 在传统的单体应用程序中,API安全性通常通过一些基本的安全措施来实现,如SSL/TLS加密、输入验证和跨站请求伪造(CSRF)保护。然而,在微服务架构中,API安...
SpringCloud - Spring Cloud 之 Security服务安全机制(十)
MinggeQingchun的博客
07-07 2116
微服务的Rest服务都是基于http请求的,因此很有可能暴露在公网上,任何人都可能调用访问,如果Rest服务有一些私密信息,就会导致信息的泄露,因此我们需要给微服务增加安全机制。如:Spring SecuritySpring Security 是 Spring Resource 社区的一个安全组件, Spring Security 为 JavaEE 企业开发提供了全面的安全防护。Spring Security 采用“安全层”的概念,使每一层都尽可能安全,连续的安全层可以达到全面的防护Spring Seeur
SpringCloud微服务实战指南:构建与安全详解
第1、2章首先介绍了微服务架构的基本概念和SpringCloud框架的概述,帮助读者建立起对微服务及其背后技术栈的理解。接着,第3、4章着重于构建微服务的准备工作,包括技术选型、环境配置和基础架构的搭建。 从第5章...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值